Marvin's Blog【程式人生】

Ability will never catch up with the demand for it

20 Dec 2020

对iOS设备进行MDM管理

iOS设备支持MDM管理。MDM有点类似于Windows的组策略。允许管理员从服务端下载配置文件到iOS设备,来启用和关闭某些预定义的功能。

先来看一组名词:

  • MDM, Mobile Device Management
  • DEP, Device Entrollment Program
  • VPP, Volume Purchase Program
  • ABM, Apple Business Manager
  • ASM, Apple School Manager

为了理解上面的名词,我们要预先理解一些概念。首先是关于设备的所有权和使用权的分离。如果你买个一个iPhone给自己用,那么这个iPhone的使用权和所有权都归你自己。但是如果你的公司采购了iPhone发放给你使用,那么很可能iPhone的所有权归公司,使用权则归你。这样一来,公司就有管理自己所拥有的设备的需求,这也就是MDM的主要目的。

MDM要求对设备进行管理。但是还有其他的管理模式,比如不针对设备进行管理,而是针对用户进行授权。这主要是应用在BYOD的场景下。你自己买了一台设备带到公司去办公。设备的所有权和使用权都是你自己,但是处于办公的目的,公司需要授权你通过自带的设备访问某些资源。相应的操作就是Enrollment types for mobile device management with Apple devices里面提到的User Enrollment。

继续回到MDM这个话题。MDM把设备分为两类,一类是受监督(supervised)的设备,另一类是不受监督的设备。在受监督的设备,有更多预定义的配置选项可供MDM管理,而在不受监督的设备上,可供管理的选项偏少。如果要对一个设备进行监督,则要使用工具把这个设备设置为受监督模式。Apple官方提供的工具是Apple Configurator 2,简称AC2。

注意,把一个设备转化为受监督的设备的时候会抹除所有数据。在AC2中,这个转化的过程被称为Prepare,也就是准备把一个设备列入管理的意思。

一个受监督的设备会关联到一个组织(Organisation),以明晰其所有权关系。在AC2的偏好设置(Preferences)中,可以创建组织,并且可以导入导出组织到文件。导出时可以设置密码,避免随意被他人导入。

除了可以往设备中添加配置文件(profile)以外,MDM还可以对目标设备的App目录进行管理,比如列举哪些应用是可以安装的,哪些应用是禁止使用的。不可避免的,企业就有需求对应用进行采购,然后分发到所管理的设备中。VPP可以帮助企业大规模采购App。

配置文件和应用目录加起来,可以被统称为管理蓝图(blueprint)。对于企业而言,可以通过对蓝图的规划,实现对设备的管理。但是蓝图本身也需要制作和管理,所以有很多MDM服务提供商。各大IT公司都有提供MDM服务。网上也能找到需要小的服务提供商。个人使用的是JamfNow,提供对三个设备进行免费管理的额度,推介链接

MDM管理的一个难题是如何把设备接进某个管理平台。为了解决这个问题,苹果一开始提供的是DEP,帮助在规模范围内实现设备的导入。后来演化成了ABM以及ASM。参考Upgrade your organization to Apple Business Manager以及Explained: What is Apple Business Manager?。ABM和ASM还提供受管理的AppleId,参考What are Managed Apple IDs?

其他参考

(本篇完)

Categories